Francis Perron, gerente de programa técnico de segurança de código aberto do Google, e Krzysztof Kotowicz, engenheiro de segurança da informação da empresa, anunciaram hoje o lançamento do Open Source Software Vulnerability Rewards Program (OSS VRP) para recompensar a descobertas de vulnerabilidades nos projetos de código aberto mantidos pela organização. O Google é o mantenedor de projetos de grande porte como Golang, Angular e Fuchsia. Dependendo da gravidade da vulnerabilidade e da importância do projeto, as recompensas variam de US$ 100 a US$ 31.337. Os maiores valores também irão para vulnerabilidades “incomuns ou particularmente interessantes”.
Veja isso
Maior programa de bug bounty critica qualidade de patches
Apple anuncia proteção antispyware e bounty de US$ 2 mi
O programa tem como foco todas as versões atualizadas do software de código aberto (incluindo configurações de repositório) armazenadas nos repositórios públicos de organizações GitHub de propriedade do Google (por exemplo Google, GoogleAPIs, GoogleCloudPlatform e outros). Outro foco são as dependências de terceiros desses projetos (com notificação prévia à dependência afetada necessária antes do envio ao OSS VRP do Google). Os principais prêmios serão para vulnerabilidades encontradas nos projetos mais sensíveis: Bazel, Angular, Golang, Protocol buffers e Fuchsia. Essa lista será expandida, alerta o Google.
Para concentrar esforços nas descobertas que têm o maior impacto na cadeia de suprimentos, serão recebidas as inscrições de:
- Vulnerabilidades que levam ao comprometimento da cadeia de suprimentos
- Problemas de design que causam vulnerabilidades no produto
- Outros problemas de segurança, como credenciais confidenciais ou vazadas, senhas fracas ou instalações inseguras
As regras estão publicadas em “https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules”